DAVID J. Malan: Aquest és CS50, i aquest és el començament de la setmana 10. Vostè pot recordar que hem demostrat a la pantalla d'una impressora 3D, que és que aquest dispositiu presa rodets de plàstic i després s'extruye per escalfament i la fusió de tal manera que puguem llavors formar l'exèrcit de Chang de elefants, per exemple. 

Així que en Leverett House, però, fa poc, jo estava xerrant amb un del seu companys de classe i amic de Chang anomenada Michelle, que en realitat internat en aquesta altra companyia d'aquest últim any que té una tècnica diferent per realment la creació d'objectes tridimensionals, com aquest petit elefant aquí. En particular, la forma en que funciona és que és un exemple d'alguna cosa denominada estereolitografia, per la qual cosa hi ha aquesta conca de resina o líquid, i després un làser passa que líquid, i poc a poc, el dispositiu ascensors i elevadors i ascensors ho que voleu imprimir, com un elefant, com que el líquid es converteix en sòlid. I el resultat, en realitat, és una cosa que és molt més robust que alguns el plàstic regals alguns de vostès podria haver tingut. 

I el que Chang amablement ho va fer per a nosaltres aquí era va fer un lapse de temps l'ús de fotografies en el transcurs d'una hora o més, probablement, per produir aquest tipus aquí. Tant de bo algú que mai ha arribat abans agradaria venir colpejar Inici en aquest vídeo? Déjame anar amb, ¿què hi ha allà. Anem amunt. Bé. I vostè és? LLUC: El meu nom és Lluc [inaudible]. DAVID J. Malan: Hola, Luke. Encantada de conèixer-te. 

LLUC: Encantat de conèixer-te. AUDIÈNCIA: Està corrent per la unitat de competència. 

DAVID J. Malan: Ho sé, estem tractant de no promoure. Molt bé, per la qual cosa Lucas, tot el que has de fer aquí a CS50 es colpeja la barra d'espai imprimir aquest elefant. [REPRODUCCIÓ DE VÍDEO] - [Brunzit MÀQUINA] - [CRASH] - [BOOM] - [CRASH] [FI REPRODUCCIÓ DE VÍDEO] DAVID J. Malan: Així que això és exactament el que és per a la impressió 3D. I aquí està la seva elefant. Gràcies pel voluntariat. Bé. Així que de nou, pel plec de condicions de el projecte final, aquest maquinari que és a disposició de vostès és, per alguna raó, el projecte té algun intersecció de programari i maquinari, s'adonen que aquests són ara els recursos. 

Volia prendre un moment per tocar en un article que va sortir Carmesí ahir a la nit, que havia de anunciar que aquest home aquí, David Johnson, que ha estat el major Preceptor per Ec 10 des de fa força temps, està deixant Harvard en el final de l'any acadèmic. I jo només volia prengui un moment, honestament, donar les gràcies a David davant del CS50. Ell ha estat un mentor de classes a nosaltres en els últims anys. 

I em sento com que, CS50, tenir més aviat crescut amb Ec 10 aquí, ja que estan just davant nostre. I ell i tot l'equip a la Ec 10 ha estat meravellosament amable, francament, com ens arrosseguem en tots els nostres equips cadascuna i totes les setmanes, i anys enrere, proporcionat una gran quantitat d'un advocat, ja que estàvem curiós pel que fa a la forma en què operen Ec 10. Així que el nostre agraïment i admiració a David Johnson. 

[Aplaudiments] 

Ara, unrelatedly, per la qual el final és de fet proper. Estem aquí a la setmana 10. I només tenim només un parell de setmanes formals aquí a la classe de l'esquerra, seguit per un parell d'esdeveniments. Així que per donar-li un sentit del que és a l'horitzó, aquí estem avui. 

Aquest dimecres, el record, tindrem una conferència convidat ni més ni menys que per Propi Steve Ballmer, de Microsoft. Si encara no has anat a cs50.harvard.edu/register, fer-ho, ja que es limitarà l'espai. I estaran revisant Identificacions a la porta d'aquest dia. Si no estiguessis aquí la setmana passada, vaig pensar que seria es burlen de tu amb una mirada diferent Steve i l'emoció que ens espera dimecres. 

[REPRODUCCIÓ DE VÍDEO] 

-Passion. 

-Estem Serà dur hardcore--. 

-Innovator. 

-Bill Dir, no ho aconsegueix. Anem a posar un ordinador a cada escriptori i en totes les llars, que es va convertir en el lema de la companyia. T'ho juro, Bill ho va inventar aquella nit perquè realment em donen alguns de la visió de per què he de dir que sí. Jo mai he mirat cap enrere, Realment, després d'això. 

-Fresh Fora de la universitat, unit a un inici incipient i va ajudar a créixer en una d'Amèrica del majoria dels negocis reeixits de la història. La vida dels negocis i lliçons apreses al llarg del camí li permetrà tornar al seu la passió de la infantesa i l'amor. I aquestes experiències han preparat ell pel seu pròxim repte en la vida. 

-Res S'interposa al nostre auge entre rústic i modern! Segueix venint hardcore! Anar Clippers! 

-Aquest És Steve Ballmer, "En les meves pròpies paraules." [FI REPRODUCCIÓ DE VÍDEO] DAVID J. Malan: --Aquest Dimecres a CS50. El cap de nou a aquesta URL aquí. Pel que fa a la resta està a l'horitzó, la setmana que ve, sense conferència el dilluns. Però seguirem que per concurs d'un dimecres. Anar a la pàgina principal del CS50 per a més detalls sobre persones, llocs i horaris per tots els diversos proctoring logística i similars, així com sobre la revisió sessions que estan pròximes. I després, finalment, dilluns, el dia abans de la setmana de vacances d'Acció de Gràcies, adonar-se que serà la nostra última conferència. Anem a servir la coca i un gran molt d'entusiasme, esperem. 

Ara, un parell d'altres actualitzacions. Tingueu en compte que l'estat informe, que és en realitat pretén ser una interacció informal amb el seu TF afirmar amb orgull només què tan avançat amb el seu projecte final que ets, o almenys com un seny comprovar que vostè ha s'aproxima a la apuntar poc després. El Hackathon llavors es dedueix que. Adonar-se de la hackathon no és una oportunitat per començar el projecte final, però té la intenció de ser una oportunitat a estar al mig d'o cap a Al final del seu projecte final, amb la posada en pràctica a causa alguns dies més tard, seguit de la fira CS50. 

Ara, la producció de CS50 equip, fa un parell d'anys, armar un teaser per a la fira CS50 que pensem que t'agradaria mostrem avui, perquè han estat treballant dur en una preqüela per això, un nou video que anem a concloure avui amb. Però això és el que li espera per a la fira CS50 d'aquest any. [REPRODUCCIÓ DE VÍDEO] - [CELL telèfon sonant] [MÚSICA "TEMA DE MISSIÓ: IMPOSSIBLE"] [FI REPRODUCCIÓ DE VÍDEO] DAVID J. Malan: Així que això és exactament com tanquem les presentacions finals dels projectes. Un parell d'ara teasers-- si desitja unir-se a Nick aquí per dinar, com de costum, aquest Divendres, cap a aquesta URL aquí. D'altra banda, si desitja per unir-se a Nick o aquesta Nick o aquest Allison o qualsevol membres de l'equip de CS50, no adonar-se que, en breu després del final del termini, CS50 ja estarà reclutant per a l'equip l'any que ve, per a les entitats emissores, TFS, dissenyadors, productors, investigadors i altres posicions que aquí operar tant en CS50 davant i darrere de les escenes. Així que si això podria ser d'interès a vostè, el cap a aquesta URL aquí. I els estudiants més còmodes, menys còmode, i en algun lloc de entre iguals són tots benvinguts i va encoratjar a aplicar. 

Així que era el moment perfecte que, sense broma, aquest matí, quan em vaig despertar, Vaig tenir aquesta aquí el correu brossa en la meva safata d'entrada. En realitat, va lliscar a través del filtre d'spam de Gmail d'alguna manera i va acabar en la meva safata d'entrada real. I diu: "Estimat bústia usuari, vostè està actualment actualitzat a 4 gigabytes d'espai. Si us plau, entreu en el seu compte amb la finalitat de validar E-espai ". 

I després hi ha aquest bonic blau enllaç temptadora allà per a seleccionar per a la facultat i el personal, que després em va portar a una pàgina meravellosament legítim, que em van demanar que els donés el meu nom i adreça de correu electrònic i, per descomptat, contrasenya per validar qui sóc i així successivament. Però, és clar, com és sempre el cas, s'arriba a aquesta pàgina de destinació, i, per descomptat, no hi ha com a mínim un error tipogràfic, que sembla ser el clau en el taüt de qualsevol d'aquestes estafes. I anem a publicar, potser, algun altre enllaços a aquest tipus de captures de pantalla En el futur. Però és d'esperar, la majoria de les persones en aquesta sala no han clicked-- o fins i tot si vostè ha fet clic enllaços d'aquest tipus, no ha anat tan lluny com per omplir aquestes formes i així successivament. De fet, està bé si vostè té. Anem a tractar d'arreglar això avui en dia, ja que, de fet, la conversa d'avui és per la seguretat. 

I, de fet, un dels objectius de CS50 no és per tant com ensenyar CE o PHP o JavaScript o SQL o qualsevol d'aquests subjacent detalls d'implementació. Però és que vostè adquireixi com els humans a només prendre decisions més intel·ligents com ell es refereix a la tecnologia per la carrer, així que, si estàs un enginyer o humanista o científic o qualsevol altre paper, vostè està fent decisions informades sobre el seu propi ús de la informàtica, o si vostè està en un presa de decisions posició, en la política, en particular, vostè està fent molt, molt millors decisions que una gran quantitat d'éssers humans avui en dia han estat. I anem a fer això forma d'uns pocs exemples. 

En primer lloc, em va sorprendre bastant recentment per descobrir la següent. Així contrasenyes, per descomptat, són el que la majoria de nosaltres protegir el nostre correu electrònic data--, xat, i tot tipus de recursos per l'estil. I només per un awkward-- no mostren de les mans, però es veu avergonyit de la vergonya, Quants de vostès utilitzen la mateixa contrasenya en un munt de diferents llocs web? 

Oh, està bé, així que anem a fer les mans. Acceptar, de manera que molts de vostès ho fan. Qualsevol persona que fa això, per què? ¿I què? Sí? AUDIÈNCIA: És fàcil de recordar, perquè vostè no ha de recordar [inaudible]. DAVID J. Malan: Sí, que és fàcil de recordar. És un perfectament raonable, comportament racional, tot i que el risc estàs posant a tu mateix en en aquests casos és només un o més dels llocs web és vulnerable a la pirateria o al insegur o la contrasenya és només tan maleït d'endevinar, qualsevol pot entendre-ho. No només és un compte compromesa, però en teoria, qualsevol comptes que té a internet. Així que sé que podria dir avui, no ho faig utilitzar la mateixa contrasenya a tot arreu, però això és molt més fàcil de dir que de fer. Però hi ha tècniques per mitigar aquesta preocupació particular. 

Ara, se m'acut, per exemple, a utilitzar un programa anomenat 1Password. Un altre popular es diu LastPass. I un munt d'ús personal CS50 1 o més d'aquests tipus d'eines. I conte llarg, un dinar per emportar per a avui ha de ser, sí, és possible que tingui la mateixa contrasenya a tot arreu, però és molt fàcil de no fer això. Per exemple, en aquests dies, ho sé potser un dels meus dotzenes o centenars de contrasenyes. Tots els meus altres contrasenyes són pseudo-aleatòria generada per un d'aquests programes aquí. I en poques paraules, i fins i tot encara que la majoria d'aquests programes tendeixen a venir amb una mica d'un cost, vostè instal·lar un programa com aquest, vostè llavors emmagatzemar tots els seus noms d'usuari i contrasenyes dins d'aquest programa a el seu Mac o PC, o el que sigui, i llavors seria xifrada en el seu ordinador amb el que és d'esperar una contrasenya particularment llarg. Així que tinc un munt de contrasenyes per a llocs web individuals, i després tinc una molt contrasenya llarga que jo utilitzar per desbloquejar tots aquestes altres contrasenyes. I el que és bo de programari com aquest és que, quan vostè visita un lloc web que és demanant el seu nom d'usuari i contrasenya, en aquests dies, jo no escrigui en el meu nom d'usuari i contrasenya, perquè, de nou, jo ni tan sols sé el que la majoria dels meus contrasenyes són. Em vaig colpejar en lloc d'un teclat accés directe, el resultat dels quals és per a activar aquest programari per em demanarà la contrasenya mestra. Llavors jo escric que un gran contrasenya en, i després el navegador plena automàticament el que la contrasenya és. Així que realment, si es pren res més de distància a partir d'avui en termes de contrasenyes, aquests són programari que val la pena descarregar o invertir en la que pugui almenys descans aquest hàbit en particular. I si vostè és el tipus que és utilitzant notes Post-It o la com-- i les probabilitats són, com a mínim, un de vosaltres és-- aquest hàbit, també, n'hi ha prou amb dir, ha de ser trencat. 

Ara, es va acudir per descobrir, com a resultat d'utilitzar el programari, el següent. Jo estava demanant un Acord comestible, aquesta cistella de fruita, recentment. I vaig arribar al meu teclat especial accés directe per iniciar sessió al lloc web. I el programari va provocar una emergent que va dir, estàs segur vols que automàticament presentar aquest nom d'usuari i contrasenya? A causa de que la connexió és insegura. 

La connexió no és utilitzant HTTPS, per segur, utilitzant aquest protocol conegut com SSL, Secure Sockets Layer. I de fet, si ens fixem en la part superior esquerra d'aquesta pàgina web, és només www.ediblearrangements.com, no HTTPS, que no és tan bo. 

Ara, jo estava curious-- potser això és només un error en el programari. Segurament, algun lloc web com això que molts de nosaltres sabem de és, almenys, mitjançant el xifrat o HTTPS URL per iniciar la sessió. Així que em va donar una mica de curiositat d'aquest matí. I tinc les meves habilitats CS50, Vaig obrir Chrome Inspector. Ni tan sols és gran part d'una habilitat. S'acaba de colpejar la dreta del teclat accés directe per obrir això. I aquí hi ha una gran finestra l'Inspector de Chrome. 

Però el que era en realitat un poc tràgica i ridícula eren aquestes dues línies aquí. Fins i tot en la part superior, observi l'adreça URL per que el meu nom d'usuari i contrasenya es van presentar. Permetin-me ampliar. Va ser aquesta aquí. I tot això és tipus d'interès, a excepció de la cosa fins al final en l'esquerra, que comença amb http: //. I així llavors, OK, potser només estan enviant el meu nom d'usuari, la qual és no com un gran problema. Potser la meva contrasenya és enviat més tard. Això seria una mena de interessant decisió de disseny. 

Però ja no. Si a continuació, miri a petició de càrrega útil, el nom d'usuari i contrasenya Jo sent-- i em burli aquests per a l'slide-- van ser enviats en realitat al clar. Així que vas a aquest lloc web en particular i ordenar un Acord comestible com aquest, i, de fet, pel que sembla, per tot això temps he estat ordenant d'ells, el seu nom d'usuari i contrasenya que està passant a través de la clara. Així que, honestament, és a dir completament inacceptable. I és tan trivial per evitar coses com aquest, ja que el dissenyador d'un lloc web i com el programador d'una pàgina web. 

Però el menjar per emportar aquí per nosaltres com a usuaris dels llocs web s'acaba d'adonar-se que tot el que pren és per a un disseny estúpid decisió, decisió de disseny injustificable, de manera que ara, si vostè sap la meva contrasenya és "Porpra" en aquest pàgina web, vostè probablement acaba d'aconseguir en un munt de altres llocs web que ara tinc. I no hi ha molt de una defensa en contra que a part del que Chang va fer aquest matí. Va ser a Edible Arrangements, que es troba pel carrer a Cambridge, i va comprar físicament això per a nosaltres. Això era molt més segur que utilitzar el lloc en aquest cas. 

Però el detall de mantenir un ull cap a fora per és en realitat el que hi ha al navegador fins a la part superior Ja està. Però fins i tot això pot ser una mica enganyós. Així que una altra interessant exemple i forma de defensar contra esto-- i, de fet, anem a fer això primer-- la forma de defensar contra aquesta és una tècnica que la gent de seguretat ho faria truqui a l'autenticació de dos factors. 

Algú sap quina és la solució a problemes com el que això significa? Què és l'autenticació de dos factors? O dit d'una altra manera, ¿com molts de vostès ho estan utilitzant? Acceptar, de manera que un parell de persones tímides. Però sí. Vaig veure la seva mà pujar. Què és l'autenticació de dos factors? 

AUDIÈNCIA: Bàsicament, a més a escriure la contrasenya, vostè també té una secundària [inaudible] enviat a través de missatge de text al seu telèfon al [inaudible]. DAVID J. Malan: Exactament. A més d'alguna forma primària d'autenticació, com una contrasenya, se li demana per una secundària factor, que és típicament una cosa que has físicament en vostè, tot i que pot ser alguna cosa completament diferent. I aquesta cosa és típicament un Cel·lular en aquests dies en què vostè aconsegueix va enviar un missatge de text temporal que diu "El seu codi d'accés temporal és 12345." 

Així que a més de la meva contrasenya "carmesí", jo també haver d'escriure el que sigui el lloc web m'ha enviat missatges de text. O si vostè té això amb un banc o un compte d'inversió, de vegades tens aquests petits dongle que en realitat tenir un pseudo-aleatòria nombre generador incorporat en ells, però tant el dispositiu i el banc sap que la seva llavor inicial és perquè sàpiguen, com la poc codi al teu petit clauer marxes per davant cada minut o dos, els valors de canvi, també ho fa que el canvi de valor al servidor del banc de manera que de manera similar es poden autenticar que, no només amb la seva contrasenya, però amb aquest codi temporal. Ara, en realitat es pot fer això a Google. I, francament, es tracta d'una bon hàbit per entrar, especialment si vostè està utilitzant Gmail tot el temps en un navegador. Si vas a aquest URL aquí, que està en les diapositives en línia d'avui en dia, i després feu clic al 2-Pas de verificació, mateixa cosa real allà. Se li demanarà a donar ells, el número de telèfon mòbil. I després, cada vegada que entreu a Gmail, se li demanarà no només per a la contrasenya, sinó també per a una poc de codi que s'envia al seu telèfon temporalment. I sempre que vostè hagi activat les galetes, i sempre que no ho fa de forma explícita tancar la sessió, només tindrà per fer això de tant en tant, com quan et sentis en un equip nou. 

I el costat positiu, també, és que, si seure en algun estil cafè internet ordinador o simplement un ordinador d'un amic, fins i tot si aquest amic maliciosament o sense saber-ho té una mica de registrador de teclat en el vostre ordinador, de tal manera que tot el que tipus s'està registrant, almenys que el segon factor, codi temporal, és efímera. Així que ell o ella o qui és compromesa l'ordinador no es pot entrar en que posteriorment, fins i tot si tota la resta era vulnerable o fins i tot sense xifrar per complet. Facebook té això, també, amb aquesta URL aquí, on es pot fer clic a Inicia la sessió Aprovacions. Així que aquí, també, si no ho fa volen amics per treuen el cap a persones, vostè no desitja que se li empenta a Facebook o publicar actualitzacions d'estat per a vostè, autenticació de dos factors aquí és probablement una bona cosa. I després hi ha això una altra tècnica per complet, acaba d'auditoria, que és fins i tot una bona cosa per a nosaltres els éssers humans, si de dos factors resulta molest, que, És cert, que pot, o no és només disponible en un lloc web, mínimament mantenir un ull en si i quan vostè està accedint als llocs, si que permeti, és una bona tècnica, també. Així que Facebook també li dóna a aquesta notificacions d'inici de sessió disposen, pel qual en qualsevol moment es dóna compte de Facebook, hm, David té connectat d'alguna ordinador o telèfon que mai hem vist abans de una adreça IP que s'assembla poc familiar, que van a almenys li envien un correu electrònic a qualsevol adreça de correu electrònic vostè té en arxiu, dient: no està mirada sospitosa? Si és així, canviï la seva contrasenya immediatament. I pel que, també, només el comportament d'auditoria fins i tot després d'haver estat compromesa, pot si més no estrènyer la finestra durant que ets vulnerable. 

Molt bé, alguna pregunta en aquestes coses fins ara? Avui és el dia per obtenir tots la seva paranoia confirmat o negat. Això és sobretot va confirmar, per desgràcia. Sí? 

AUDIÈNCIA: [inaudible] de telèfon, el que si es trenca el telèfon, i llavors és sempre difícil verify-- 

DAVID J. Malan: Veritable. 

AUDIÈNCIA: O si vostè està en un diferent país, i que no li permeten entrar perquè [inaudible]. DAVID J. Malan: Absolutament. I pel que aquests són l'addicional els costos en què incorri. Sempre hi ha aquest tema d'un trade-off, després de tot. I llavors, si vostè perd el seu telèfon, si es trenca, si estàs a l'estranger, o simplement no té una senyal, com un senyal LTE 3G o, vostè no podria en realitat ser capaç d'autenticar. 

Així que de nou, aquests dos són solucions de compromís. I de vegades, es pot crear un molta feina per a vostè com a resultat. Però realment depèn, llavors, a la qual cosa el preu esperat per a vostè és una mica de benestar compromesa per complet. 

Així SSL, llavors, és que aquesta tècnica tots en general, donem per fet o assumir que és allà, tot i que això no és clarament el cas. I encara es pot induir a error persones, però, fins i tot amb aquest. Així que aquí està un exemple d'un banc. 

Aquest és el Bank of America. Hi ha un munt d'ells a la Plaça de Harvard i més enllà. I adonar-se que, en el més alt de la pantalla, hi ha una, de fet, HTTPS. I és encara verd i va destacar per a nosaltres per indicar que es tracta de fet un lloc web segur legítimament, o pel que hem estat entrenats per creure. 

Ara, a més d'això, però, compte que, si ens acostem, hi ha aquesta cosa aquí, on se li demana que ingressi. Què significa aquest cadenat dreta allà, al costat del meu nom d'usuari Prompt? Això és bastant comú en els llocs web, també. Què significa aquest cadenat? Sembla com si sabessis. 

AUDIÈNCIA: No vol dir res. 

DAVID J. Malan: Es no vol dir res. Això significa que el Bank of America sap com per a escriure HTML amb les etiquetes d'imatge, oi? Realment no vol dir res, perquè fins i tot que, utilitzant el primer dia de la nostra mirada en HTML, pot codificar fins a una pàgina amb un fons vermell i una imatge, com un GIF o el que sigui, que que passa a semblar-se a un cadenat. I, no obstant això, això és super comú en els llocs web, perquè hem estat entrenats per assumir que, oh, cadenat significa segur, quan en realitat només vol dir que vostè sap HTML. 

Per exemple, en el seu moment, que vaig poder acaben de posar això al meu lloc web, afirmant que és segur, i demanant, de manera efectiva, per als noms d'usuari i contrasenyes de les persones. Així que mirant en la direcció URL és almenys una millor idea, perquè que es construeix a Chrome o el que sigui el navegador que utilitzeu. Però tot i això, de vegades les coses poden anar malament. I, de fet, no sempre es poden veure HTTPS, i molt menys en verd. 

Algun de vostès alguna vegada vist una pantalla com aquesta? És possible que tingui, en realitat, a principis d'octubre, quan em vaig oblidar de pagar per la nostra Certificat SSL, com se l'anomena, i que estàvem buscant com això durant una hora o dues. Així que el que has vist coses així, amb una vaga a través, com una línia vermella, a través de el protocol de la URL o algun tipus de pantalla que és almenys amonestar a vostè per tractar de seguir endavant. I Google està convidant aquí que tornis a la seguretat. 

Ara, en aquest cas, això només significava que el certificat SSL que estàvem fent servir, els grans nombres, matemàticament útils que estan associats amb el servidor del CS50, ja no eren vàlids. I, de fet, podem simular això, com vostè pot en el seu ordinador portàtil. Si vaig a Chrome aquí, i anirem a facebook.com, i sembla que això és segur. Però m'ho dius a mi anar per davant i ara feu clic al cadenat aquí. 

I m'ho dius a mi anar a la connexió, Informació del certificat. I, en efecte, el que va a veure aquí és un munt dels detalls de baix nivell sobre que facebook.com realment és. Sembla que han pagat diners per una companyia anomenada potser DigiCert alta La garantia que ha promès per dir-li a la resta del món que, si un navegador mai veu 1 certificate-- que es pugui imaginar que, literalment, com un certificat que sembla que alguna cosa cursi a la part superior esquerra- llavors facebook.com és qui diu que són, perquè tot aquest temps, quan vostè visita un lloc web, de la mateixa manera que cs50.harvard.edu o facebook.com o gmail.com que utilitzi HTTPS URL, darrere de les escenes, hi ha aquest tipus de transacció passant automàticament per a vostè, per la qual cosa facebook.com, en aquest cas, s'envia al seu navegador de la seva anomenat certificat SSL, o més aviat, la seva clau pública, i després el seu navegador Esteu aquesta clau pública per enviar posteriorment encriptat el trànsit cap i des d'ell. 

Però hi ha tota aquesta jerarquia en el món de les empreses que vostè paga diners perquè ho faci a continuació, declarar, en un sentit digital, que són de fet facebook.com o el servidor és de fet cs50.harvard.edu. I incorporat en els navegadors, com Chrome i IE i Firefox, és una llista de tots els anomenat les autoritats de certificació que siguin autoritzades per Microsoft i Google i Mozilla per confirmar o negar que facebook.com és qui diu que és. Però el problema és que aquestes coses no caduquen. De fet, s'assembla a Facebook de que expira el pròxim octubre, al any 2015. 

Així que en realitat podem simular això si anar al meu Mac a Preferències del Sistema, i entro a la data i hora, i Entro a la data i hora aquí, i puc desbloquejar aquesta aquí-- per sort, nosaltres no revelem una clau aquest temps-- i ara em vaig a desmarcar aquesta. I anem a actually-- Ui, això és no tan interessant per fer-ho. Estem, literalment, en el futur, ara, el que significa això és el que 2020 és similar. Si ara torno a carregar la page-- anem a fer-ho en Ingognito mode-- si torno a carregar la pàgina, aquí anem. 

Així que ara, el meu equip pensa que és de 2020, però el meu navegador sap que aquest certificat de Facebook expira, per descomptat, en l'any 2015. Així que m'està donant aquest missatge vermell. Ara, per sort, els navegadors com Chrome tenen en realitat fet que sigui molt difícil procedir, però. Ells en veritat em volen per tornar a la seguretat. 

Si faig clic aquí a Advance, que és em dirà alguns detalls més. I si el que realment vull per continuar, deixaran que me'n vaig a la facebook.com, que és, de nou, no segur, en el punt Vaig a veure la pàgina principal de Facebook, igual que aquest. Però llavors altres coses semblen ser de ruptura. El que probablement trencant en aquest moment? AUDIÈNCIA: JavaScript. DAVID J. Malan: Igual que el Arxius JavaScript i / o CSS arxius són igualment trobar-se que l'error. Així que això és només una mala situació general. Però el punt aquí és que, almenys, Facebook sí que té SSL activat pels seus servidors, ja que molts llocs web, fer, però no necessàriament tots. 

Però això no és només el menjar per emportar aquí. Resulta que fins i tot SSL s'ha demostrat que és insegur d'alguna manera. Així que estic donant a entendre quin tipus de SSL, bona. Busqui HTTPS URL, i la vida és bo, perquè tot el seu tràfic HTTP i les capçaleres i el contingut està xifrat. 

Ningú pot interceptar al mitjà, a excepció d'un home anomenat al centre. Aquesta és una tècnica general en el món de la seguretat coneguda com un atac man-in-the-middle. Suposeu que vostè és aquest petit portàtil per aquí a l'esquerra, i suposem que vostè està tractant de visitar un servidor d'allí a la dreta, com facebook.com. 

Però suposem que, en entre vostè i Facebook, és un munt d'altres servidors i equips, com switches i routers, Servidors DNS, servidors DHCP, cap dels quals controlem. Pot ser controlat per Starbucks o Harvard o Comcast o similars. Bé, suposem que algú maliciosament, a la xarxa, entre vostè i Facebook, és capaç de dir-li que, saps què, l'adreça IP del Facebook no és el que vostè pensa que és. És aquesta IP al seu lloc. 

I perquè el navegador és enganyat per sol·licitar el tràfic d'un altre equip complet. Bé, suposem que l'ordinador simplement mira a tots del trànsit que vostè està demanant des Facebook i totes les pàgines web que vostè està demanant a Facebook. I cada vegada que veu en el seu trànsit a una URL que comenci amb HTTPS, de forma dinàmica, en la volar, reescriu com HTTP. I cada vegada que veu una ubicació capçalera, la ubicació de còlon, com fem servir per redirigir l'usuari, aquests, també, pot ser canviat per aquest home en el mitjà de HTTPS a HTTP. 

Així que tot i que vostè mateix podria Creus que ets el veritable Facebook, no és tan difícil per a un adversari amb accés físic a la seva xarxa simplement tornar a les pàgines que veurà com Gmail, que veurà com Facebook, i de fet la direcció URL és idèntics, perquè són pretendre tenir aquest mateix nom d'amfitrió a causa d'algun explotació de DNS o algun altre sistema semblant. I el resultat és, doncs, que els éssers humans només poden adonar-se que, OK, això s'assembla a Gmail o almenys la versió anterior, com és d'aquesta diapositiva una presentació més. Però sembla que esto-- http://www.google.com. 

Així que aquí, també, la realitat és que la forma en què molts de vostès, quan vas a Facebook o Gmail o qualsevol lloc web i vostè sap una mica d'alguna cosa sobre SSL, quants de vostès físicament escrigui https: // i després la pàgina web nomenar, Retorn. La majoria de nosaltres només ha d'escriure, com, CS50, premeu Enter, o F-A per a Facebook i prem Enter, i deixeu que es completa automàticament. Però darrere de les escenes, si vostè mira el seu tràfic HTTP, és probable que hi hagi un munt d'aquests encapçalats d'ubicació que va a enviar des Facebook per www.facebook.com a https://www.facebook.com. 

Així que això és una o més transaccions HTTP on la seva informació és completament enviat al clar, sense xifrat en absolut. Ara, això no pot ser un gran exemple tractar si tot el que estem tractant de fer és accedir la pàgina, no estàs enviant el seu nom d'usuari i contrasenya. Però què és el sota el capó, sobretot per als llocs web basats en PHP que és també de ser enviat d'anada i tornada quan vostè visita alguna pàgina web si que utilitza el lloc web, per exemple, PHP i implementa la funcionalitat com pset7? El que estava sent enviat d'anada i tornada en les capçaleres HTTP que et va donar l'accés a aquesta bonica útil súper mundial en PHP? 

Audiència: Galetes. 

DAVID J. Malan: Galetes, específicament galeta d'identificació del PHP sess. Així que recorda, si anem a, per exemple, cs50.harvard.edu de nou, però aquesta vegada, anem a obrir el Fitxa Xarxa, i ara, fins aquí, anirem, literalment, només a http://cs50.harvard.edu i després prem Enter. I després mirar la pantalla aquí baix. Cal notar que de fet vam arribar de nou un 301 mogut permanentment missatge, el que significa que hi ha una capçalera d'ubicació aquí, que ara em redirigir a HTTPS. 

Però el problema és que, si jo ja tenia una cookie estampada a la mà pràcticament, com hem discutit abans, i Jo l'espècie humana de saber-ho, només cal visitar la inseguretat versió, i el meu navegador presa sobre si mateix per demostrar que segell a la mà per la primera sol·licitud, que és a través d'HTTP, qualsevol home en el medi, qualsevol adversari en el medi, teòricament pot simplement veure aquelles capçaleres HTTP, simplement com estem veient aquí. És només una vegada que estàs parlant amb un HTTPS URL fa que segell a la mà si arribar encriptat, a l'estil de Cèsar o Vigenère, però amb un algoritme columbòfil complet. Així que aquí, també, fins i tot si llocs web utilitzen HTTPS, nosaltres els humans hem estat condicionats, gràcies a les tècniques d'auto-completar i altres, per ni tan sols pensar en les implicacions potencials. Ara, hi ha formes d'evitar això. Per exemple, molts llocs web es poden configurar de manera que, una vegada que tingui aquesta mà segell, vostè pot dir-li al navegador, aquest segell de mà és només per a les connexions SSL. El navegador no ha de presentar a mi si no és a través de SSL. No obstant això, molts llocs web no es molesti amb això. I pel que sembla, molts llocs web ni tan sols es molesten amb SSL en absolut. 

Així que per saber més sobre això, no hi ha en realitat encara més brutícia en aquesta presentació que un company va donar en un així anomenat negre conferència barret fa un parell d'anys, on hi ha fins i tot una altra trucs maliciosos persones han utilitzat. Vostè pot recordar aquesta noció d'un favicon, que és com un petit logotip que és sovint a la finestra del navegador. Bé, què ha passat comú entre els nois dolents és per fer icones fabulosos que s'assemblen al que? AUDIÈNCIA: [inaudible]. DAVID J. Malan: Digui una altra vegada? AUDIÈNCIA: Els llocs web. DAVID J. Malan: No és un lloc web. Així favicon, diminut icona. Quin seria el més cosa maliciosa, manipuladora vostè pot fer que el seu lloc web de icona per defecte sembla? AUDIÈNCIA: Un bloqueig verd. DAVID J. Malan: Què és això? AUDIÈNCIA: Una mica de bloqueig verda. DAVID J. Malan: Com un bloqueig verd, exactament. Així que vostè pot tenir aquesta estètica d'un petit cadenat verd, donant a entendre al món, oh, estem assegurar, quan, de nou, tot el que significa és que vostè sap alguna cosa d'HTML. Així segrest de sessió es refereix a exactament això. Si tens algú que és tipus de olorar les ones en aquesta sala aquí o té accés físic a un xarxa i pot veure les galetes, ell o ella pot prendre que Cookie d'identificació PHP sess. I llavors, si són prou astut per saber com enviar aquesta galeta com a pròpia segell de la mà amb només copiar aquest valor i l'enviament de les capçaleres HTTP, Algú podria molt fàcilment entrar en qualsevol dels Facebook comptes o comptes de Gmail o comptes de Twitter que són aquí, oberts a la sala, si vostè no està utilitzant SSL i si el lloc és no fer servir SSL correctament. 

Així que la transició a un altre anem. Així que una altra història veritable. I això només es va trencar en el notícies d'una setmana o dos enrere. Verizon ha estat fent una cosa molt malament, i com a millors persones poden dir, des d'almenys 2012, amb la qual cosa, quan s'accedeix a llocs web a través d'un Verizon telèfon mòbil, sigui quin sigui el fabricant que és, que han estat supèrbia, segons explica la història, injectar en tota la seva HTTP el trànsit del seu propi capçalera HTTP. I que les mirades de capçalera així- X-UIDH. UID és com un únic identificador o ID d'usuari. I X només vol dir que aquesta és una costum encapçalament que no és estàndard. 

Però el que això significa és que, si m'aixeco, per exemple, qualsevol lloc web en el meu telèfon aquí-- i estic utilitzant Verizon com el meu carrier-- tot i que el meu navegador no podria ser l'enviament d'aquesta HTTP capçalera, Verizon, tan aviat ja que el senyal arriba a la seva torre de mòbil a algun lloc, ha estat durant algun temps la injecció d'aquest capçalera en tot el nostre tràfic HTTP. Per què fan això? És de suposar que per raons de localització, per raons de publicitat. 

Però la decisió de disseny moronic aquí és que una capçalera HTTP, com vostès saben des de pset6, és rebuda per qualsevol servidor web que vostè està demanant el tràfic de. Així que tot aquest temps, si vostè ha estat visitant Facebook o Gmail o qualsevol lloc web que no utilitza SSL tot el temps-- i, de fet, les dos per sort ara fer-- però altres llocs web que no utilitzi SSL tot el temps, Verizon té essencialment estat la plantació, per la força, un segell de la mà en tot el nostre mans que encara no veiem, sinó més aviat, els llocs web de gamma fan. I el que no ha estat que dur per qualsevol sobre la internet l'execució d'un servidor web per s'adona, ooh, aquest és David, o, ooh, aquesta és Davin, fins i tot si som rigorós sobre l'eliminació de les nostres galetes, perquè no ve de nosaltres. Ve del portador. 

Ells fan una recerca en el seu número de telèfon i després diuen, oh, aquest és David. Permetin-me injectar un identificador únic pel que que els nostres anunciants o a qualsevol pot no perdre de vista això. Així que això és realment molt, molt, molt dolent i horrible. I jo l'animaria a fer una ullada, per exemple, en aquesta direcció, que jo hauria de renunciar He intentat això aquest matí. Vaig escriure un petit script, el va posar en aquesta direcció URL, visitat amb la meva pròpia Verizon mòbil després d'encendre Wi-Fi apagat. Així que cal activar Wi-Fi fora de manera que està utilitzant 3G o LTE o similars. I llavors, si vostè visita aquest URL, tot aquest guió ho fa per a vostès, si vol jugar, es escup el que les capçaleres HTTP el telèfon està enviant al nostre servidor. I en realitat, per ser justos, vaig No veure això aquest matí, que em fa pensar, ja sigui local torre de mòbil que estava connectat a o el que sigui, no ho està fent, o que han desistit de fer-ho temporalment. No obstant això, per obtenir més informació, al capdavant a aquest URL aquí. 

I ara a esto-- això còmic podria tenir sentit. No? Okay. Bé. Que va morir. Bé. 

Així que donem una ullada a un parell de més atacs, ni que sigui per augmentar la consciència de i després oferir un parell possibles solucions pel que ets encara més conscient. Aquest parlem de l'altra dia, però no va donar un nom a la mateixa. És una falsificació de petició en llocs creuats, que és una manera elegant de dir excessivament que enganyar un usuari perquè faci clic a un URL com aquesta, que els trucs en algun comportament que que no tenen la intenció. 

En aquest cas, això sembla estar tractant d'enganyar en la venda de les meves accions de Google. I això tindrà èxit si Jo, el programador de pset7, no ho han fet, ¿què? O, més aviat, de forma més general, en el que casos sóc jo vulnerable a un atac si algú trucs altre usuari que faci clic a un URL com aquesta? Sí? 

AUDIÈNCIA: No distingeixes entre GET i POST. 

DAVID J. Malan: Good. Si no distingim entre GET i POST, i de fet, si permetem OBTENIR per vendre coses, estem convidant a aquest tipus d'atac. Però encara podríem mitigar una mica. I li vaig comentar, crec, la setmana passada que Amazon, almenys, tracta de mitigar aquest amb una tècnica això és bastant senzill. ¿Què faria una cosa intel·ligent fer estar en el seu servidor, en lloc de només vendre a cegues qualsevol que sigui el símbol que l'usuari escriu al? AUDIÈNCIA: La confirmació de la classe? DAVID J. Malan: una pantalla de confirmació, cosa que implica la interacció humana pel que em veig obligat a fer la trucada sentència, encara que jo he fet clic ingènuament un vincle que té aquest aspecte i em va portar a la pantalla d'cel·lular, en menys em va preguntar per confirmar o negar. Però no un atac poc freqüent, sobretot en l'anomenat phishing o spam com atacs. 

Ara, aquest és una mica més subtil. Es tracta d'un atac cross-site scripting. I això passa si el seu pàgina web no utilitza l'equivalent de htmlspecialchars. I està prenent l'entrada de l'usuari i només cegament injectar en una pàgina web, com amb la impressió o eco, con-- nou-- terme trucar a alguna cosa com htmlspecialchars. 

Així que suposem que la pàgina web en pregunta és vulnerable.com. I suposo que accepta un paràmetre anomenat q. Mira el que podria succeir si jo en realitat, un mal tipus, escriure o enganyar un usuari perquè visitar una URL que s'assembla a esto-- q = etiqueta script obert, tancat etiqueta script. I de nou, estic suposant que no és vulnerable.com resultarà perillós personatges com a suports oberts en entitats HTML, el símbol d'unió, L-T, cosa punt i coma que vostè pot ser que hagi vist abans. 

Però el que és el guió o codi JavaScript Estic tractant d'enganyar a un usuari en l'execució? Bé, document.location refereix a la direcció actual del navegador. Així que si ho faig document.location =, això em permet redirigir a l'usuari en JavaScript a un altre lloc web. És com la nostra funció de PHP redirigir, però fet en JavaScript. 

On estic intentant enviar a l'usuari? Bé, pel que sembla, badguy.com/log.php, que és una seqüència d'ordres, pel que es veu, el dolent de la pel·lícula, va escriure, que pren un paràmetre anomenat galeta. 

I fixeu-vos, què fer jo semblen ser concatenant a l'extrem d'aquest signe igual? Bé, una cosa que diu document.cookie. No hem parlat d'això. Però resulta que, a JavaScript, igual que en PHP, es pot accedir a totes les galetes que el seu navegador porti a la pràctica. 

Així que l'efecte d'aquest línia de codi, si un usuari és enganyat per fer clic a aquest enllaç i el lloc web no vulnerable.com escapar amb htmlspecialchars, és que vostè té només efectiva pujat a log.php totes les seves galetes. I això no és sempre problemàtica que, excepte si una d'aquestes galetes és l'ID de sessió, la seva l'anomenat segell de mà, que significa badguy.com pot fer el seu propi Peticions HTTP, l'enviament de la mateixa mà segell, el mateix capçalera de galeta, i iniciar sessió en qualsevol lloc web que estava visitant, el que al seu aquest cas és vulnerable.com. És un cross-site scripting atac en el sentit que està espècie d'enganyar un lloc en narració un altre lloc web sobre informació no deu, de fet, tenir accés a. 

Molt bé, a punt per a un un altre detall preocupant? Molt bé, el món és un lloc de por, de manera que legítimament. Heus aquí una senzilla Exemple JavaScript que és en el codi font d'avui anomenada de geolocalització 0 i 1. I hi ha un parell Tutorials en línia per a això. 

I ho fa de la següent si obrir aquesta pàgina web a Chrome. En primer lloc, no fa res. Bé, anem a tractar això de nou. Oh. No, cal fer alguna cosa. Acceptar, per estar dret. 

Anem a provar això una vegada més. [Inaudible] Ah, bé, no sé per què ell-- oh, l'aparell probablement perdut internet accés per alguna raó. Molt bé, pel que em passa a mi, també. 

Molt bé, així que avís ¿Què està passant aquí. Aquest críptic mirant URL és només un servidor CS50, vol utilitzar el meu ordinador de ubicació, com físicament que significa. I si, de fet, faig clic a Permetre, anem a veure què passa. Pel que sembla, aquesta és la meva latitud actual i longitudinal coordina baix a una resolució bastant bo. 

Llavors, ¿com he arribat a això? Com funciona aquest lloc web, com a servidor CS50, conèixer físicament en quina part del món Jo estic, i molt menys amb aquesta precisió. Bé, resulta fora-- anem només mirar source-- de la pàgina que aquí és un munt de HTML a la part inferior que té primera esto-- body onload = "geolocalitzar" - només una funció que vaig escriure. 

I jo estic dient, en càrrega la pàgina, truqui Geolocalitzar. I llavors no hi ha res en el cos, perquè a la capçalera de la pàgina, adonar-se del que tinc aquí. Aquí està la meva funció Geolocalitzar. I això és només un error checking-- si el tipus de navigator.geolocation no està definit. Així JavaScript té aquesta mecanisme en el qual es pot dir, quina és la tipus d'aquesta variable? I si no és undefined-- que significa que és una mica de value-- Vaig a trucar a navigator.geolocation.getCurrentPosition i després de devolució de trucada. 

Què és això? Així que, en general, el que és un devolució de trucada, només per ser clar? És possible que hagi trobat això ja en pset8. Devolució de trucada és un genèric termini per fer què? Se sent com m'acaba avui. AUDIÈNCIA: [inaudible]. DAVID J. Malan: Exactament, una funció que ha de ser cridat només quan es disposa de dades. Aquesta crida al navegador, aconseguir el meu actual posició, podria prendre un mil·lisegon, pot ser que prengui un minut. El que això significa és que estem explicant el mètode get getCurrentPosition, cridar a aquesta funció de devolució de trucada, que literalment anomenat de devolució de trucada per simplicitat, que pel que sembla és aquest d'aquí. 

I la forma en getCurrentPosition funciona, simplement mitjançant la lectura de la documentació per algun codi JavaScript en línia, és que exigeix ​​que la crida de devolució de trucada funció, passa a és un objecte de JavaScript, dins dels quals és .coords.latitude i .coords.longitude, que és exactament com, llavors, quan vaig tornar a carregar aquesta pàgina, Vaig tenir l'oportunitat de veure el meu lloc aquí. Ara, almenys hi havia una defensa aquí. Abans que jo vaig visitar aquesta pàgina, quan efectivament treballades, el que estava almenys em inciten per? 

AUDIÈNCIA: [inaudible]. 

DAVID J. Malan: Sí o no-- fer vol permetre o negar això? Però pensa, també, sobre els hàbits vostès probablement han adoptat, tant en els seus telèfons i els seus navegadors. Molts de nosaltres, a mi mateix inclòs, són probablement bastant predisposats aquests days-- vostè veure un pop-up, simplement Enter, Acceptar, Aprovar, Permet. I cada vegada més, vostè pot posar en risc per aquestes raons. 

Així que de fet, no era aquest meravellós insecte uns pocs anys ago-- o la manca de feature-- que iTunes tenia fa uns anys, per la qual cosa, si vostè tenia un telèfon mòbil, i que era un iPhone, i que va deixar la seva casa i, per tant, la volta al món o el barri, durant tot aquest temps, el seu telèfon estava registrant on es trobi a través de GPS. I això és en realitat revelada, i la gent amable d'esperar això ara. El telèfon sap on ets. Però el problema era que, quan estaves còpia de seguretat el telèfon per iTunes-- això va ser abans els dies d'iCloud, que és per a millor o per worse-- estava sent emmagatzemades les dades a iTunes, completament sense xifrar. Així que si vostè té una família o companys d'habitació o un veí malintencionat que és curiós sobre literalment tots els GPS coordinar alguna vegada has estat en, ell o ella podria simplement seure a iTunes, executi algun tipus de programari que va ser lliurement i mapes disponibles produeixen els agrada. 

De fet, això és el que produïda del meu propi telèfon. Em vaig connectar a. I sembla que, sobre la base en els punts blaus allà, que és on la major part de les coordenades GPS eren connectat per iTunes que jo era al nord-est allà. Però pel que sembla, viatjava al voltant una mica, fins i tot dins de Massachusetts. 

Així que aquest és el port de Boston hi ha a la dreta. Això és una cosa de Cambridge i Boston, on està més fosc. I de tant en tant, m'agradaria córrer manats a una geografia més gran. 

Però iTunes, des de fa anys, tenia, com a millor Em vaig adonar, totes aquestes dades sobre mi. Es podria dir que, aquest any, jo era en realitat viatjar molt entre Boston i Nova York, que van i vénen i d'anada i tornada. I, de fet, això m'és a Amtrak, de tornada i endavant, enrere i endavant, una mica. Tot això s'està connectat i s'emmagatzema encriptada en el meu equip per a qualsevol persona que pugui tenir accés al meu ordinador. 

Aquesta era preocupant. No sabia per què estava a Pennsylvania o per què el meu telèfon estava a Pennsylvania, pel que sembla, bastant dens. I llavors, per fi, vaig mirar en el meu Gcal, i, oh, visitat CMU, Carnegie Mellon, en el moment. I ¡uf, aquest tipus de va explicar que blip. I després, si fa zoom fos més lluny, es pot veig que vaig visitar San Francisco una o més vegades, a continuació, i que fins i tot tenia una escala en el que Crec que és Las Vegas, allà baix. Així que tot esto-- només un escala, a l'aeroport. 

AUDIÈNCIA: [El] 

Així que això és només per dir que aquests problemes, honestament, són omnipresents. I només se sent cada vegada més com si hagués més i més d'això es dóna a conèixer, que és probablement una bona cosa. M'atreveixo a dir, el món no és cada vegada pitjor en el programari d'escriptura. Estem cada vegada millor, amb sort, en notar el mal que determinat programari és que estem fent servir. I per sort, alguns les empreses estan començant a ser responsables d'això. 

Però, quin tipus de defenses es pot tenir en compte? Així que a més de gestors de contrasenya, igual que 1Password i LastPass i altres, a més de només canviar les seves contrasenyes i trobar els aleatoris l'ús de programari com que, també pots provar el millor que pugui per xifrar tot el seu trànsit per a almenys reduir la zona d'una amenaça. Així, per exemple, com a afiliats de Harvard, tot el que pot anar a vpn.harvard.edu i entreu amb el seu ID de Harvard i el seu PIN. I això va a establir una assegurança connexió entre vostè i Harvard. 

Ara, això no ho fa necessàriament protegir contra qualsevol amenaça que es troben entre Harvard i Facebook o Harvard i Gmail. Però si vostè està assegut en un aeroport o ets assegut a Starbucks o ets assegut a casa d'un amic, i que realment no confia en ells o la seva configuració del seu encaminador domèstic, almenys es pot establir una connexió segura a una entitat com aquest lloc que és probablement una mica millor assegurat d'una cosa així com un Starbucks o similars. I el que això fa és estableix, de nou, xifrat entre vostè i el punt final. 

Fins i tot més elegant són coses com aquesta. Així que alguns de vostès ja poden estar familiaritzat amb Tor, que és aquest tipus de forma anònima xarxa, de manera que un munt de gent, si corren aquest programari, ruta posteriorment el seu internet trànsit a través de l'altra. Així que el punt és més curt ja no entre A i B. Però podria ser tot el el seu lloc perquè vostè és essencialment que cobreix les pistes d'un i deixant menys d'un rècord pel que fa a on el seu HTTP trànsit ve, perquè va a través d'un munt d'altres persones ordinadors portàtils o de sobretaula, per bé o per mal. 

Però fins i tot això no és una cosa segura. Alguns de vostès poden recordar l'any passat l'amenaça de bomba que es deia a. I va ser rastrejat en última instància a una usuari que havien utilitzat aquesta xarxa aquí. I la captura allà, pel que recordo, és, si no hi ha que moltes altres persones utilitzant un programari com aquest o utilitzant aquest port i protocol, que no és tan difícil per a una xarxa de fins a esbrinar qui, amb certa probabilitat, era de fet anonimat seu trànsit. 

I jo no sé si aquestes eren la dades reals en qüestió. Però, sens dubte, s'adonen que cap aquestes són solucions d'èxit segur, també. I l'objectiu aquí avui és per a menys, fer-li pensar sobre aquestes coses i trobar tècniques per defensar-se contra ells. Teniu alguna pregunta respecte totes les amenaces que l'esperen per aquí, i en aquesta llista? Sí? AUDIÈNCIA: Què tan segur fer esperem que la mitjana [? lloc web per ser ,?] com el projecte mitjana CS50? 

DAVID J. Malan: La projecte mitjana CS50? Sempre es demostra cada any que alguns projectes finals CS50 no són especialment segur. En general, es tracta d'algun company de quart o hallmate que les xifres d'això mitjançant l'enviament de peticions al seu projecte. 

Answer-- Short quants llocs web són segurs? Estic recollint en l'actualitat anomalies. De la mateixa manera que era només una casualitat que em vaig adonar que aquest lloc web He estat demanant aquests francament deliciosos arranjaments de-- i no estic segur que vaig deixeu d'utilitzar el lloc web; Jo podria canviar la meva contrasenya més regularly-- no està clar fins a quin punt vulnerables tots aquests various-- aquesta és coberta de xocolata en realitat. La resposta curta, no puc respondre a aquesta efectivament, a part de dir que No va ser tan difícil per a mi trobar alguns d'aquests exemples només pel bé de la discussió a classe. I només mantenir un ull en Google Notícies i altres recursos portarà encara més de aquest tipus de coses a la llum. 

Molt bé, anem a arribar a la conclusió amb aquesta preqüela que l'equip de CS50 ha preparat per a tu en previsió de la CS50 hackathon. I en el seu camí en un moment, se serveix fruita. [REPRODUCCIÓ DE VÍDEO] [MÚSICA FERGIE, Q CONSELL, I GoonRock, "A Petita festa mai va matar a NINGÚ (ALL WE GOT) "] 

- [RONCS] [FI REPRODUCCIÓ DE VÍDEO] DAVID J. Malan: Això és tot per CS50. Ens veiem el dimecres. [MÚSICA - Skrillex, "IMMA 'Prova-ho!"]